計算機網(wǎng)絡安全與防范畢業(yè)論文

1、計算機網(wǎng)絡安全與防范畢業(yè)論文課題名稱：計算機網(wǎng)絡安全與防范指導教師：系 另i:電子信息系專 業(yè)：班 級：姓 名：計算機網(wǎng)絡安全與防范摘要計算機網(wǎng)絡飛速發(fā)展的同時，安全問題不容忽視。網(wǎng)絡安全經過了二十多年的發(fā)展, 已經發(fā)展成為一個跨多門學科的綜合性科學，它包括：通信技術、網(wǎng)絡技術、計算機軟件、 碩件設計技術、密碼學、網(wǎng)絡安全與計算機安全技術等。在安全技術不斷發(fā)展的同時，全面加強安全技術的應用也是網(wǎng)絡安全發(fā)展的一個重要 內容。因為即使有了網(wǎng)絡安全的理論基礎，沒有對網(wǎng)絡安全的深刻認識、沒有廣泛地將它 應用于網(wǎng)絡中，那么談再多的網(wǎng)絡安全也是無用的。同時，網(wǎng)絡安全不僅僅是防火墻，也 不是防病毒、入侵監(jiān)測

2、、防火墻、身份認證、加密等產品的簡單堆砌，而是包括從系統(tǒng)到 應用、從設備到服務的比較完整的、體系性的安全系列產品的有機結合。總之，網(wǎng)絡在今后的發(fā)展過程中不再僅僅是一個工具，也不再是一個遙不可及僅供少 數(shù)人使用的技術專利，它將成為一種文化、一種生活融入到社會的各個領域。關鍵詞：計算機；網(wǎng)絡；安全；防范第1章緒論11.1計算機網(wǎng)絡發(fā)展前景1第2章計算機網(wǎng)絡安全概述22. 1計算機網(wǎng)絡安全的概念22. 2計算機網(wǎng)絡安全現(xiàn)狀2第3章 網(wǎng)絡安全的威脅因素23. 1網(wǎng)絡安全的威脅因素2第4章幾種常用的網(wǎng)絡安全技術44. 1防火墻技術44. 1. 1防火墻的主要功能44. 1.2防火墻的主要優(yōu)點44. 1.

3、3防火墻的主要缺陷44.1.4防火墻的分類54. 1.5防火墻的部署54. 2數(shù)據(jù)加密技術54.3系統(tǒng)容災技術64. 4入侵檢泗!）技術64. 4.1入侵檢測系統(tǒng)的分類74. 4.2目前入侵檢測系統(tǒng)的缺陷74. 4.3防火墻與入侵檢測系統(tǒng)的相互聯(lián)動74. 5漏洞掃描技術84. 6物理安全8總結錯誤!未定義書簽。1.1計算機網(wǎng)絡發(fā)展前景計算機網(wǎng)絡就是計算機之間通過連接介質（如網(wǎng)絡線、光纖等）互聯(lián)起來，按照網(wǎng)絡協(xié) 議進行數(shù)據(jù)通信，實現(xiàn)資源共享的一種組織形式。計算機網(wǎng)絡是二十世紀60年代起源于 美國，原木用于軍事通訊，后逐漸進入民用，經過短短40年不斷的發(fā)展和完善，現(xiàn)己廣 泛應用于各個領域，并正以高

4、速向前邁進。在不久的將來，我們將看到一個充滿虛擬性的 新時代。對計算機網(wǎng)絡發(fā)展的前景，我有如下看法：1）全球因特網(wǎng)裝置之間的通信量將超過人與人之間的通信量。因特網(wǎng)將從一個單純 的大型數(shù)據(jù)中心發(fā)展成為一個更加聰明的高智商網(wǎng)絡，將成為人與信息之間的高層調節(jié) 者。其中的個人網(wǎng)站復制功能將不斷預期人們的信息需求和喜好，用戶將通過網(wǎng)站復制功 能篩選網(wǎng)站，過濾掉與己無關的信息并將所需信息以最佳格式展現(xiàn)出來。由軟件驅動的智 能網(wǎng)技術和無線技術將使網(wǎng)絡觸角伸向人們所能到達的任何角落，同時允許人們自行選擇 接收信息的形式。（2）帶寬的成木將變得非常低廉，甚至可以忽略不計。隨著帶寬瓶頸的突破，未來網(wǎng) 絡的收費將來

5、自服務而不是帶寬。3）計算機網(wǎng)絡飛速發(fā)展的同時，安全問題不容忽視。網(wǎng)絡安全經過了二十多年的發(fā) 展，已經發(fā)展成為一個跨多門學科的綜合性科學，它包括：通信技術、網(wǎng)絡技術、計算機 軟件、硬件設計技術、密碼學、網(wǎng)絡安全與計算機安全技術等。在理論上，網(wǎng)絡安全是建立在密碼學以及網(wǎng)絡安全協(xié)議的基礎上的。密碼學是網(wǎng)絡安 全的核心，利用密碼技術對信息進行加密傳輸、加密存儲、數(shù)據(jù)完整性鑒別、用戶身份鑒 別等，比傳統(tǒng)意義上簡單的存取控制和授權等技術更可靠。由于加密算法的公開化和解密 技術的發(fā)展，加上發(fā)達國家對關鍵加密算法的出口限制，各個國家正不斷致力于開發(fā)和設 計新的加密算法和加密機制。從技術上，網(wǎng)絡安全取決于兩個

6、方面：網(wǎng)絡設備的硬件和軟件。網(wǎng)絡安全則由網(wǎng)絡設 備的軟件和硬件互相配合來實現(xiàn)的。但是，由于網(wǎng)絡安全作為網(wǎng)絡對其上的信息提供的一 種增值服務，人們往往發(fā)現(xiàn)軟件的處理速度成為網(wǎng)絡的瓶頸，因此，將網(wǎng)絡安全的密碼算 法和安全協(xié)議用硬件實現(xiàn)，實現(xiàn)線速的安全處理仍然將是網(wǎng)絡安全發(fā)展的一個主要方向。第2章計算機網(wǎng)絡安全概述2.1計算機網(wǎng)絡安全的概念國際標準化組織將“計算機安全”定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術和管 理的安全保護，保護計算機硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄 漏”。上述計算機安全的定義包含物理安全和邏輯安全兩方面的內容，其邏輯安全的內容 可理解為我們常說的信息安全，

7、是指對信息的保密性、完整性和可用性的保護，而網(wǎng)絡安 全性的含義是信息安全的引中，即網(wǎng)絡安全是對網(wǎng)絡信息保密性、完整性和可用性的保護。 計算機網(wǎng)絡安全的具體含義會隨著使用者的變化而變化，使用者不同，對網(wǎng)絡安全的認識 和要求也就不同。從本質上來講，網(wǎng)絡安全包括組成網(wǎng)絡系統(tǒng)的硬件、軟件及其在網(wǎng)絡上傳輸信息的安 全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡安全既有技術方面的問題，也有 管理方面的問題，兩方面相互補充，缺一不可。人為的網(wǎng)絡入侵和攻擊行為使得網(wǎng)絡安全 面臨新的挑戰(zhàn)。2. 2計算機網(wǎng)絡安全現(xiàn)狀計算機網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬、軟件及系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然或惡 意的原因而遭到破壞、

8、更改、泄露，系統(tǒng)連續(xù)、可靠、正常地運行，網(wǎng)絡服務不中斷。計 算機和網(wǎng)絡技術具有的復雜性和多樣性,使得計算機和網(wǎng)絡安全成為一個需要持續(xù)更新和 提高的領域。目前黑客的攻擊方法己超過了計算機病毒的種類，而且許多攻擊都是致命的。 在internet網(wǎng)絡上，因互聯(lián)網(wǎng)木身沒有時空和地域的限制，每當有一種新的攻擊手段產牛, 就能在一周內傳遍全世界,這些攻擊手段利用網(wǎng)絡和系統(tǒng)漏洞進行攻擊從而造成計算機系 統(tǒng)及網(wǎng)絡癱瘓。蠕蟲、后門(back-doors)> dos和sniffer(網(wǎng)路監(jiān)聽)是大家熟悉的幾種黑 客攻擊手段。但這些攻擊手段卻都體現(xiàn)了它們驚人的威力，時至今日，有愈演愈烈之勢。 這幾類攻擊手段的

9、新變種，與以前出現(xiàn)的攻擊方法相比，更加智能化，攻擊目標直指互聯(lián) 網(wǎng)基礎協(xié)議和操作系統(tǒng)層次。從web程序的控制程序到內核級rootletso黑客的攻擊手法 不斷升級翻新，向用戶的信息安全防范能力不斷發(fā)起挑戰(zhàn)。第3章網(wǎng)絡安全的威脅因素3. 1網(wǎng)絡安全的威脅因素歸納起來，針對網(wǎng)絡安全的威脅主要有:軟件漏洞、配置不當、安全意識不強、病毒、 黑客攻擊等。(1) 軟件漏洞：每一個操作系統(tǒng)或網(wǎng)絡軟件的出現(xiàn)都不可能是無缺陷和漏洞的。這就使我們的計算機 處于危險的境地，一旦連接入網(wǎng)，將成為眾矢之的。(2) 配置不當：安全配置不當造成安全漏洞，例如，防火墻軟件的配置不正確，那么它根木不起作用。 對特定的網(wǎng)絡應用程

10、序，當它啟動時，就打開了一系列的安全缺口，許多與該軟件捆綁在 一起的應用軟件也會被啟用。除非用戶禁止該程序或對其進行正確配置，否則，安全隱患 始終存在。(3) 安全意識不強：用戶口令選擇不慎，或將自己的帳號隨意轉借他人或與別人共享等都會對網(wǎng)絡安全帶 來威脅。(4) 病毒：目前數(shù)據(jù)安全的頭號大敵是計算機病毒，它是編制者在計算機程序中插入的破壞計算 機功能或數(shù)據(jù)，影響計算機軟件、硬件的正常運行并且能夠自我復制的一組計算機指令或 程序代碼。計算機病毒具有傳染性、寄生性、隱蔽性、觸發(fā)性、破壞性等特點。因此，提 高對病毒的防范刻不容緩。(5) 黑客攻擊：對于計算機數(shù)據(jù)安全構成威脅的另一個方面是來自電腦黑

11、客(backer)o電腦黑客利用 系統(tǒng)中的安全漏洞非法進入他人計算機系統(tǒng)，其危害性非常大。從某種意義上講，黑客對 信息安全的危害甚至比一般的電腦病毒更為嚴重。影響計算機網(wǎng)絡安全的主要因素：1)網(wǎng)絡系統(tǒng)在穩(wěn)定性和可擴充性方面存在問題。2)網(wǎng)絡硬件的配置不協(xié)調。3)缺乏安全策略。4)訪問控制配置的復雜性，容易導致配置錯誤，從而給他人以可乘之機。5)管理制度不健全，網(wǎng)絡管理、維護任其自然。第4章 幾種常用的網(wǎng)絡安全技術4. 1防火墻技術網(wǎng)絡安全所說的防火墻(fire wall)是指內部網(wǎng)和外部網(wǎng)之間的安全防范系統(tǒng)。它使 得內部網(wǎng)絡與因特網(wǎng)之間或與其它外部網(wǎng)絡之間互相隔離、限制網(wǎng)絡互訪，用來保護內部

12、網(wǎng)絡。防火墻通常安裝在內部網(wǎng)與外部網(wǎng)的連接點上。所有來自internet (外部網(wǎng))的 傳輸信息或從內部網(wǎng)發(fā)出的信息都必須穿過防火墻3。4. 1. 1防火墻的主要功能防火墻的主要功能包括：(1) 防火墻可以對流經它的網(wǎng)絡通信進行掃描，從而過濾掉一些攻擊，以免其在目 標計算機上被執(zhí)行。(2) 防火墻可以關閉不使用的端口，而且它還能禁止特定端口的輸出信息。(3) 防火墻可以禁止來自特殊站點的訪問，從而可以防止來自不明入侵者的所有通 信，過濾掉不安全的服務和控制非法用戶對網(wǎng)絡的訪問。(4) 防火墻可以控制網(wǎng)絡內部人員對internet ±特殊站點的訪問。(5) 防火墻提供了監(jiān)視intern

13、et安全和預警的方便端點。4. 1.2防火墻的主要優(yōu)點防火墻的主要優(yōu)點包括：(1可作為網(wǎng)絡安全策略的焦點防火墻可作為網(wǎng)絡通信的阻塞點。所有進岀網(wǎng)絡的信息都必須通過防火墻。(2)可以有效記錄網(wǎng)絡活動由于防火墻處于內網(wǎng)與外網(wǎng)之間，即所有傳輸?shù)男畔⒍紩┻^防火墻。(3為解決ip地址危機提供了可行方案由于internet的日益發(fā)展及ip地址空間有限，使得用戶無法獲得足夠的注冊ip地 址。防火墻則處于設置網(wǎng)絡地址轉換mt的最佳位置。nat有助于緩和tp地址空間的不 足。4. 1.3防火墻的主要缺陷由于互聯(lián)網(wǎng)的開放性，防火墻也有一些弱點，使它不能完全保護網(wǎng)絡不受攻擊。防火墻的主要缺陷有:(1) 防火墻對繞

14、過它的攻擊行為無能為力。(2) 防火墻無法防范病毒，不能防止感染了病毒的軟件或文件的傳輸，對于病毒只 能安裝反病毒軟件。(3) 防火墻需要有特殊的較為封閉的網(wǎng)絡拓撲結構來支持。網(wǎng)絡安全性的提高往往 是以犧牲網(wǎng)絡服務的靈活性、多樣性和開放性為代價。4. 1.4防火墻的分類防火墻的實現(xiàn)從層次上人體可分為三類：包過濾防火墻，代理防火墻和復合型防火lafe丄回o(1包過濾防火墻包過濾防火墻是在ip層實現(xiàn)，它可以只用路由器來實現(xiàn)。包過濾防火墻根據(jù)報文的 源ip地址，目的tp地址、源端口、目的端口和報文傳遞方向等報頭信息來判斷是否允許 有報文通過。(2代理防火墻代理防火墻也叫應用層網(wǎng)關防火墻，包過濾防火墻

15、可以按照tp地址來禁止未授權者 的訪問。但它不適合單位用來控制內部人員訪問外部網(wǎng)絡，對于這樣的企業(yè)，應用代理防 火墻是更好的選擇。(3復合型防火墻復合型防火墻是將數(shù)據(jù)包過濾和代理服務結合在一起使用，從而實現(xiàn)了網(wǎng)絡安全 性、性能和透明度的優(yōu)勢互補。4.1.5防火墻的部署(1防火墻的位置一般是內網(wǎng)與外網(wǎng)的接合處，用來阻止來自外部網(wǎng)絡的入侵。(2如果內部網(wǎng)絡規(guī)模較大，并且設置虛擬局域網(wǎng)(vlan),則應該在各個vlanz 間設置防火墻。(3通過公網(wǎng)連接的總部與各分支機構z間應該設置防火墻。(4主干交換機至服務器區(qū)域工作組交換機的骨干鏈路上。(5遠程撥號服務器與骨干交換機或路由器z間。4.2數(shù)據(jù)加密技

16、術數(shù)據(jù)加密技術就是對信息進行重新編碼，從而隱藏信息內容，使非法用戶無法獲取信 息、的真實內容的一種技術手段。數(shù)據(jù)加密技術是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密 性，防止秘密數(shù)據(jù)被外部破析所采用的主要手段之一。數(shù)據(jù)加密技術按作用不同可分為數(shù)據(jù)存儲、數(shù)據(jù)傳輸、數(shù)據(jù)完整性的鑒別以及密匙管 理技術4種。數(shù)據(jù)存儲加密技術是以防止在存儲環(huán)節(jié)上的數(shù)據(jù)失密為目的，可分為密文存 儲和存取控制兩種;數(shù)據(jù)傳輸加密技術的目的是對傳輸中的數(shù)據(jù)流加密，常用的有線路加 密和端口加密兩種方法;數(shù)據(jù)完整性鑒別技術的目的是對介入信息的傳送、存取、處理人 的身份和相關數(shù)據(jù)內容進行驗證，達到保密的要求，系統(tǒng)通過對比驗證對象輸入的特征值

17、 是否符合預先設定的參數(shù)，實現(xiàn)對數(shù)據(jù)的安全保護。數(shù)據(jù)加密在許多場合集中表現(xiàn)為密匙 的應用，密匙管理技術事實上是為了數(shù)據(jù)使用方便。密匙的管理技術包括密匙的產牛、分 配保存、更換與銷毀等各環(huán)節(jié)上的保密措施。4. 3系統(tǒng)容災技術個完整的網(wǎng)絡安全體系，只有防范和檢測措施是不夠的，還必須具有災難容忍和系 統(tǒng)恢復能力。因為任何一種網(wǎng)絡安全設施都不可能做到萬無一失，一旦發(fā)生漏防漏檢事 件，其后果將是災難性的。此外，天災人禍、不可抗力等所導致的事故也會對信息系統(tǒng) 造成毀滅性的破壞。這就要求即使發(fā)生系統(tǒng)災難，也能快速地恢復系統(tǒng)和數(shù)據(jù)，才能完整 地保護網(wǎng)絡信息系統(tǒng)的安全?，F(xiàn)階段主要有基于數(shù)據(jù)備份和基于系統(tǒng)容錯的系

18、統(tǒng)容災技 術。數(shù)據(jù)備份是數(shù)據(jù)保護的最后屏障，不允許有任何閃失。但離線介質不能保證安全。數(shù) 據(jù)容災通過ip容災技術來保證數(shù)據(jù)的安全。數(shù)據(jù)容災使用兩個存儲器，在兩者之間建立 復制關系，一個放在本地，另一個放在異地。本地存儲器供本地備份系統(tǒng)使用，異地容災 備份存儲器實吋復制本地備份存儲器的關鍵數(shù)據(jù)。二者通過ip相連，構成完整的數(shù)據(jù)容 災系統(tǒng)，也能提供數(shù)據(jù)庫容災功能。4. 4入侵檢測技術入侵檢測技術是從各種各樣的系統(tǒng)和網(wǎng)絡資源屮采集信息（系統(tǒng)運行狀態(tài)、網(wǎng)絡流 經的信息等），并對這些信息進行分析和判斷。通過檢測網(wǎng)絡系統(tǒng)屮發(fā)生的攻擊行為或異 常行為，入侵檢測系統(tǒng)可以及時發(fā)現(xiàn)攻擊或異常行為并進行阻斷、記錄、

19、報警等響應，從 而將攻擊行為帶來的破壞和影響降至最低。同時，入侵檢測系統(tǒng)也可用于監(jiān)控分析用戶和 系統(tǒng)的行為、審計系統(tǒng)配置和漏洞、識別異常行為和攻擊行為（通過異常檢測和模式匹配等技術)、對攻擊行為或異常行為進行響應、審計和跟蹤等。典型的ids系統(tǒng)模型包括4個功能部件：(1) 事件產牛器，提供事件記錄流的信息源。(2) 事件分析器，這是發(fā)現(xiàn)入侵跡象的分析引擎。(3) 響應單元，這是基于分析引擎的分析結果產牛反應的響應部件。(4) 事件數(shù)據(jù)庫，這是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復雜的數(shù) 據(jù)庫，也可以是簡單的文木文件。4. 4.1入侵檢測系統(tǒng)的分類入侵檢測系統(tǒng)根據(jù)數(shù)據(jù)來源不同，可分為基于

20、網(wǎng)絡的入侵檢測系統(tǒng)和基于主機的入侵 檢測系統(tǒng)。網(wǎng)絡型入侵檢測系統(tǒng)的實現(xiàn)方式是將某臺主機的網(wǎng)卡設置成混雜模式，監(jiān)聽本網(wǎng)段內 的所有數(shù)據(jù)包并進行判斷或直接在路由設備上放置入侵檢測模塊。一般來說，網(wǎng)絡型入侵 檢測系統(tǒng)擔負著保護整個網(wǎng)絡的任務。主機型入侵檢測系統(tǒng)是以系統(tǒng)日志、應用程序日志等作為數(shù)據(jù)源，當然也可以通過其 它手段(如檢測系統(tǒng)調用)從所有的主機上收集信息進行分析。入侵檢測系統(tǒng)根據(jù)檢測的方法不同可分為兩大類：異常和誤用。4. 4.2目前入侵檢測系統(tǒng)的缺陷入侵檢測系統(tǒng)作為網(wǎng)絡安全防護的重要手段，目前的ids還存在很多問題，有待于 我們進一步完善。(1高誤報率(2缺乏主動防御功能4. 4. 3防火

21、墻與入侵檢測系統(tǒng)的相互聯(lián)動防火墻是一個跨接多個物理網(wǎng)段的網(wǎng)絡安全關口設備。它可以對所有流經它的流量進 行各種各樣最直接的操作處理，如無通告拒絕、icmp拒絕、轉發(fā)通過(可轉發(fā)至任何端 口)、各以報頭檢查修改、各層報文內容檢查修改、鏈路帶寬資源管理、流量統(tǒng)計、訪問 h志、協(xié)議轉換等。當我們實現(xiàn)防火墻與入侵檢測系統(tǒng)的相互聯(lián)動后，ids就不必為它所連接的鏈路轉發(fā)業(yè)務流量。因此，ids可以將大部分的系統(tǒng)資源用于對采集報文的分析，而這正是ids 最眩目的亮點。ids可以有足夠的時間和資源做些有效的防御工作，如入侵活動報警、不 同業(yè)務類別的網(wǎng)絡流量統(tǒng)計、網(wǎng)絡多種流量協(xié)議恢復(實時監(jiān)控功能)等。ids高智能

22、的 數(shù)據(jù)分析技術、詳盡的入侵知識描述庫可以提供比防火墻更為準確、更嚴格、更全面的訪 問行為審查功能。綜上所述，防火墻與ids在功能上可以形成互補關系。這樣的組合較以前單一的動 態(tài)技術或靜態(tài)技術都有了較大的提高。使網(wǎng)絡的防御安全能力大大提高。防火墻與ids 的相互聯(lián)動可以很好地發(fā)揮兩者的優(yōu)點，淡化各自的缺陷，使防御系統(tǒng)成為一個更加堅固 的圍墻。在未來的網(wǎng)絡安全領域中，動態(tài)技術與靜態(tài)技術的聯(lián)動將有很大的發(fā)展市場和空 間。4. 5漏洞掃描技術漏洞掃描是自動檢測遠端或本地主機安全的技術，它查詢tcp/ip各種服務的端口， 并記錄目標主機的響應，收集關于某些特定項目的有用信息。這項技術的具體實現(xiàn)就是安 全掃描程序。掃描程序可以在很短的吋間內查岀現(xiàn)存的安全脆弱點。掃描程序開發(fā)者利用 可得到的攻擊方法，并把它們集成到整個掃描中，掃描后以統(tǒng)訃的格式輸出，便于參考和